4 min de lecture<\/p>\n
NIS2 et DORA rendent les dirigeants et administrateurs personnellement responsables en cas de n\u00e9gligence grave dans la cybers\u00e9curit\u00e9 de l\u2019entreprise. Pour les DSI et les RSSI, cela change fondamentalement les r\u00e8gles du jeu : il ne suffit plus de mettre en \u0153uvre des mesures techniques. La documentation de la diligence raisonnable devient un bouclier de protection personnelle.<\/strong><\/p>\n Pendant des d\u00e9cennies, les administrateurs et directeurs g\u00e9n\u00e9raux ont pu d\u00e9l\u00e9guer la responsabilit\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9 au RSSI ou au d\u00e9partement informatique. Tant qu\u2019aucun incident majeur ne survenait, le sujet restait confin\u00e9 au niveau op\u00e9rationnel. NIS2 met fin \u00e0 ce mod\u00e8le. L\u2019article 38 de la nouvelle loi sur l\u2019Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 informatique (BSI) pr\u00e9cise sans ambigu\u00eft\u00e9 : la direction doit superviser la mise en \u0153uvre des mesures de gestion des risques et r\u00e9pond personnellement des manquements.<\/p>\n Concr\u00e8tement, cela signifie que si une entreprise rel\u00e8ve du champ d\u2019application de NIS2 et que la direction est prouv\u00e9e avoir approuv\u00e9 des mesures insuffisantes, les personnes concern\u00e9es peuvent \u00eatre tenues personnellement responsables. Cela s\u2019applique ind\u00e9pendamment de la survenance effective d\u2019un dommage. Cette obligation existe d\u00e8s la phase de pr\u00e9vention, et non uniquement apr\u00e8s un incident.<\/p>\n DORA renforce encore cette approche dans le secteur financier. Son article 5 exige que l\u2019organe de direction de l\u2019\u00e9tablissement financier assume la responsabilit\u00e9 ultime de la gestion des risques li\u00e9s aux technologies de l\u2019information et de la communication (TIC). Bien que la d\u00e9l\u00e9gation \u00e0 des entit\u00e9s op\u00e9rationnelles soit possible, elle ne dispense pas l\u2019organe de direction de sa responsabilit\u00e9 globale. La BaFin (Autorit\u00e9 f\u00e9d\u00e9rale allemande de surveillance financi\u00e8re) a clairement indiqu\u00e9 qu\u2019elle prendrait cette obligation tr\u00e8s au s\u00e9rieux.<\/p>\n \n\u00ab Nous devons poursuivre la construction de la \u00ab Cybernation Allemagne \u00bb. Le niveau de menace n\u2019a jamais \u00e9t\u00e9 aussi \u00e9lev\u00e9, et la cybers\u00e9curit\u00e9 doit devenir une priorit\u00e9 absolue pour les dirigeants. \u00bb NIS2 (article 38 de la loi sur le BSI) :<\/strong> La direction doit superviser la mise en \u0153uvre des mesures de gestion des risques pr\u00e9vues \u00e0 l\u2019article 30. Elle doit participer \u00e0 des formations en cybers\u00e9curit\u00e9 et pouvoir d\u00e9montrer des connaissances suffisantes. En cas de n\u00e9gligence grave, elle engage sa responsabilit\u00e9 personnelle. Cette responsabilit\u00e9 ne peut \u00eatre exclue par les statuts ou un contrat de soci\u00e9t\u00e9.<\/p>\n DORA (article 5) :<\/strong> L\u2019organe de direction assume la responsabilit\u00e9 ultime de la gestion des risques TIC. Il doit approuver le cadre de gestion des risques TIC, d\u00e9finir la strat\u00e9gie de r\u00e9silience cybern\u00e9tique et superviser sa mise en \u0153uvre. Au moins une fois par an, l\u2019organe de direction doit \u00e9valuer l\u2019ad\u00e9quation des mesures mises en place. En cas de manquement, des sanctions peuvent \u00eatre prononc\u00e9es par l\u2019autorit\u00e9 nationale de supervision financi\u00e8re comp\u00e9tente.<\/p>\n R\u00e8glement g\u00e9n\u00e9ral sur l\u2019intelligence artificielle (RGIA) de l\u2019UE :<\/strong> Pour les syst\u00e8mes d\u2019intelligence artificielle \u00e0 haut risque, le fournisseur ou l\u2019exploitant est responsable de la conformit\u00e9. En cas de violation des obligations applicables aux syst\u00e8mes \u00e0 haut risque, des amendes pouvant atteindre 35 millions d\u2019euros ou 7 % du chiffre d\u2019affaires annuel mondial sont pr\u00e9vues. Bien que le RGIA ne pr\u00e9voie pas explicitement de responsabilit\u00e9 personnelle de la direction, la responsabilit\u00e9 organique g\u00e9n\u00e9rale issue du droit des soci\u00e9t\u00e9s peut s\u2019appliquer si la direction n\u2019a pas assur\u00e9 la surveillance des obligations de conformit\u00e9.<\/p>\n Sources : Loi allemande de transposition de NIS2 (NIS2UmsuCG), RGIA de l\u2019UE (2024\/1689), DORA (2022\/2554)<\/p>\n De nombreux dirigeants comptent sur leur assurance de responsabilit\u00e9 civile des dirigeants (D&O – Directors and Officers). Or cette protection comporte des limites. Les polices D&O couvrent typiquement les manquements intentionnels. En cas de n\u00e9gligence grave, la couverture d\u00e9pend des conditions sp\u00e9cifiques de la police d\u2019assurance. On peut raisonnablement s\u2019attendre \u00e0 ce que les assureurs, apr\u00e8s l\u2019entr\u00e9e en vigueur des obligations NIS2, renforcent leurs exigences en mati\u00e8re de preuve de diligence raisonnable.<\/p>\n Les DSI et les RSSI doivent, conjointement avec le service juridique, examiner les points suivants : la police D&O actuelle couvre-t-elle les risques de responsabilit\u00e9 li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 au titre de NIS2 et de DORA ? Contient-elle des clauses d\u2019exclusion relatives aux manquements r\u00e9glementaires ? Le montant de la garantie est-il suffisant compte tenu des nouveaux plafonds d\u2019amendes ? Cette v\u00e9rification doit \u00eatre men\u00e9e sans d\u00e9lai.<\/p>\n 1. Documenter un cadre de gouvernance.<\/strong> Un cadre \u00e9crit de gouvernance de la cybers\u00e9curit\u00e9, qui d\u00e9finit clairement les responsabilit\u00e9s, les processus et les voies d\u2019escalade. Ce cadre doit \u00eatre adopt\u00e9 par le conseil d\u2019administration<\/a> et mis \u00e0 jour r\u00e9guli\u00e8rement. Il constitue la preuve centrale que la direction remplit son obligation de surveillance.<\/p>\n 2. Organiser des formations r\u00e9guli\u00e8res du conseil d\u2019administration.<\/strong> NIS2 exige explicitement que la direction participe \u00e0 des formations en cybers\u00e9curit\u00e9<\/a>. Une participation document\u00e9e \u00e0 au moins deux formations par an constitue le standard minimal. Ces formations doivent couvrir les menaces actuelles, les \u00e9volutions r\u00e9glementaires et les risques sp\u00e9cifiques au secteur d\u2019activit\u00e9.<\/p>\n 3. Documenter les d\u00e9cisions en mati\u00e8re de risques.<\/strong> Chaque d\u00e9cision du conseil d\u2019administration concernant les mesures de cybers\u00e9curit\u00e9 doit faire l\u2019objet d\u2019un proc\u00e8s-verbal. M\u00eame l\u2019acceptation consciente de risques r\u00e9siduels doit \u00eatre document\u00e9e et justifi\u00e9e. En cas de mise en cause pour responsabilit\u00e9, la documentation du processus d\u00e9cisionnel constitue la meilleure protection contre l\u2019accusation de n\u00e9gligence grave.<\/p>\n 4. V\u00e9rifier et adapter l\u2019assurance D&O.<\/strong> Examiner les polices existantes afin de d\u00e9terminer si elles couvrent les risques de responsabilit\u00e9 li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et aux manquements r\u00e9glementaires. Si n\u00e9cessaire, \u00e9tendre la couverture ou souscrire une police D&O sp\u00e9cialis\u00e9e en cybers\u00e9curit\u00e9. Cette v\u00e9rification doit \u00eatre men\u00e9e sans d\u00e9lai.<\/p>\n 5. R\u00e9aliser un audit externe comme preuve.<\/strong> Un audit ind\u00e9pendant r\u00e9alis\u00e9 par un auditeur qualifi\u00e9 documente objectivement l\u2019\u00e9tat des mesures de cybers\u00e9curit\u00e9. Une certification ISO\/IEC 27001 ou des attestations comparables renforcent consid\u00e9rablement la position de la direction en cas de mise en cause pour responsabilit\u00e9. Cet audit doit \u00eatre r\u00e9p\u00e9t\u00e9 au moins une fois par an.<\/p>\n Le message \u00e0 adresser au conseil d\u2019administration est inconfortable, mais indispensable : depuis l\u2019entr\u00e9e en vigueur de la loi NIS2, la cybers\u00e9curit\u00e9 constitue une question de responsabilit\u00e9 personnelle pour chaque membre du conseil d\u2019administration. La d\u00e9l\u00e9gation au RSSI ou au d\u00e9partement informatique ne dispense plus de la responsabilit\u00e9 personnelle. Le conseil d\u2019administration doit exercer une surveillance active, suivre r\u00e9guli\u00e8rement des formations et documenter ses d\u00e9cisions.<\/p>\n Les DSI qui formulent ce message en amont et construisent simultan\u00e9ment les structures de gouvernance n\u00e9cessaires posent les fondations d\u2019une direction informatique juridiquement s\u00e9curis\u00e9e. Celui qui ignore ce sujet risque non seulement des amendes pour l\u2019entreprise, mais aussi sa propre carri\u00e8re et son patrimoine personnel. Le moment d\u2019agir est maintenant.<\/p>\n Si le DSI fait partie de la direction ou s\u2019il s\u2019est vu formellement confier la responsabilit\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9, il peut engager sa responsabilit\u00e9 personnelle en cas de n\u00e9gligence grave. L\u2019article 38 de la loi sur le BSI fixe l\u2019obligation de surveillance \u00e0 la direction et exclut toute exon\u00e9ration de responsabilit\u00e9 par les statuts ou un contrat de soci\u00e9t\u00e9.<\/p>\n<\/details>\n Une n\u00e9gligence grave est constitu\u00e9e lorsque la direction m\u00e9conna\u00eet des obligations fondamentales de diligence raisonnable, par exemple l\u2019absence totale de gestion des risques, l\u2019absence de proc\u00e9dures de r\u00e9ponse aux incidents ou le non-respect de vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 connues. Un cadre de gouvernance document\u00e9 et des audits r\u00e9guliers constituent la meilleure protection contre cette accusation.<\/p>\n<\/details>\n Partiellement. Les assurances D&O ne couvrent g\u00e9n\u00e9ralement pas les manquements intentionnels. En cas de n\u00e9gligence grave, la couverture d\u00e9pend des conditions sp\u00e9cifiques de la police d\u2019assurance. Les DSI doivent v\u00e9rifier leur police D&O quant aux risques de responsabilit\u00e9 li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et l\u2019adapter si n\u00e9cessaire.<\/p>\n<\/details>\n NIS2 exige que la direction puisse d\u00e9montrer des connaissances suffisantes en mati\u00e8re de cybers\u00e9curit\u00e9. Il est recommand\u00e9 de suivre au moins deux formations document\u00e9es par an, couvrant les menaces actuelles, les exigences r\u00e9glementaires et les risques sp\u00e9cifiques au secteur d\u2019activit\u00e9.<\/p>\n<\/details>\n La loi allemande de transposition de NIS2 est entr\u00e9e en vigueur en d\u00e9cembre 2025 ; la date limite d\u2019enregistrement aupr\u00e8s du BSI \u00e9tait fix\u00e9e au 31 mars 2026. DORA est applicable depuis janvier 2025. Le RGIA de l\u2019UE sera applicable aux syst\u00e8mes \u00e0 haut risque \u00e0 compter d\u2019ao\u00fbt 2026. Les entreprises disposent donc de quelques mois seulement pour mettre en place leurs structures de gouvernance.<\/p>\n<\/details>\n Source de l\u2019image : Vlada Karpovich \/ Pexels<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" 4 min de lecture NIS2 et DORA rendent les dirigeants et administrateurs personnellement responsables en cas de n\u00e9gligence grave dans la cybers\u00e9curit\u00e9 de l\u2019entreprise. Pour les DSI et les RSSI, cela change fondamentalement les r\u00e8gles du jeu : il ne suffit plus de mettre en \u0153uvre des mesures techniques. La documentation de la diligence raisonnable […]<\/p>\n","protected":false},"author":114,"featured_media":12752,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"responsabilit\u00e9 personnelle","_yoast_wpseo_title":"Responsabilit\u00e9 personnelle: Guide NIS2 et DORA pour DSI","_yoast_wpseo_metadesc":"Responsabilit\u00e9 DSI NIS2 DORA : Prot\u00e9gez-vous en renfor\u00e7ant la cybers\u00e9curit\u00e9 de votre entreprise \u2013 Agissez d\u00e8s maintenant pour \u00e9viter les sanctions.","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"pre_headline":"","bildquelle":"","teasertext":"","language":"de","footnotes":""},"categories":[7,705],"tags":[],"class_list":["post-14954","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security","category-cybersecurite","entry"],"wpml_language":"fr","wpml_translation_of":12753,"yoast_head":"\nL’essentiel<\/h2>\n
\n
La fin de la d\u00e9l\u00e9gation de responsabilit\u00e9<\/h2>\n
\nClaudia Plattner, pr\u00e9sidente du BSI (Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 informatique), Rapport sur la situation de la s\u00e9curit\u00e9 informatique 2025<\/cite>\n<\/p><\/blockquote>\nCe que les textes exigent concr\u00e8tement<\/h2>\n
Assurance D&O : pas de protection automatique<\/h2>\n
Cinq mesures de protection pour les DSI et les administrateurs<\/h2>\n
Ce que les DSI doivent dire d\u00e8s maintenant au conseil d\u2019administration<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Le DSI engage-t-il sa responsabilit\u00e9 personnelle sous NIS2 ?<\/strong><\/summary>\n
Que signifie \u00ab n\u00e9gligence grave \u00bb dans le contexte de NIS2 ?<\/strong><\/summary>\n
Une assurance D&O prot\u00e8ge-t-elle contre la responsabilit\u00e9 NIS2 ?<\/strong><\/summary>\n
Quelles formations les administrateurs doivent-ils justifier ?<\/strong><\/summary>\n
\u00c0 partir de quand les nouvelles r\u00e8gles de responsabilit\u00e9 entrent-elles en vigueur ?<\/strong><\/summary>\n
Lectures recommand\u00e9es par la r\u00e9daction<\/h2>\n
\n
Plus d\u2019articles du r\u00e9seau m\u00e9dia MBF Media<\/h2>\n
\n